ID.nl logo
11 tips om Windows beter te beveiligen
© PXimport
Zekerheid & gemak

11 tips om Windows beter te beveiligen

Volgens Microsoft is Windows 10 het veiligste besturingssysteem dat ze ooit hebben uitgebracht. Dat klopt ook wel, maar die claim maakt Microsoft bij elke nieuwe Windows-versie. Hoe dan ook, in dit artikel bekijken we enkele minder bekende beveiligingsfuncties en zie je hoe je die instelt of aanscherpt, al dan niet met behulp van externe tools.

Zelfs als je alle beschikbare of mogelijke beveiligingsfuncties activeert en goed instelt, is je systeem niet 100 procent beschermd tegen alle denkbare calamiteiten. Beveiliging is immers nooit absoluut en gezond verstand blijft een cruciale factor in je verdedigingsstrategie. Met dit besef in het achterhoofd zetten we enkele belangrijke beveiligingsfuncties van Windows 10 op een rij. We focussen ons op beveiliging tegen hackers en malware. Aan onderdelen als Systeemherstel, Windows Hello, BitLocker, Bestandsgeschiedenis en Ouderlijk toezicht gaan we hier (dus) voorbij.

We laten vooral functies aan bod komen waar je als eindgebruiker op soms onvermoede manieren mee te maken krijgt of die om je expliciete input vragen.

01 Secure boot: wat?

Beveiliging begint al zodra je de pc start. Je wilt er namelijk wel zeker van zijn dat je OS en de firmware-drivers niet (door rootkits) zijn aangetast. Om dat tegen te gaan, heeft men aan het bios gesleuteld, wat resulteerde in de zogeheten ‘uefi’ (unified extensible firmware interface). Deze modus kent onder meer de beveiligingsfunctie ‘secure boot’. Die controleert op basis van een digitaal certificaat of de firmware in uefi-apps, option roms en OS-bootloaders wel betrouwbaar is. Alleen dan kan de pc verder opstarten.

Heb je een uefi-systeem en wil je nagaan of secure boot is geactiveerd, druk dan op Windows-toets+R en voer msinfo32 uit. In de rubriek Systeemoverzicht zie je Status beveiligd opstarten aan: Ingeschakeld, Uitgeschakeld of Niet ondersteund. In dit laatste geval biedt je systeem dus geen ondersteuning aan voor secure boot, of je hebt Windows geïnstalleerd in de oudere bios-modus. Bij Bios Modus staat dan de optie Verouderd, in plaats van UEFI.

©PXimport

02 Secure boot: hoe?

Microsoft raadt gebruikers aan Windows in uefi-modus met ingeschakelde secure boot te installeren en die functie steeds ingeschakeld te laten. Om secure boot alsnog in te schakelen druk je op een speciale toets tijdens het opstarten (zoals Esc, F2, F10 of F12) om het uefi/bios-setupvenster te openen. Het lukt overigens ook vanuit Windows zelf. Ga naar Instellingen en kies Bijwerken en beveiliging / Systeemherstel / Nu opnieuw opstarten. Na de herstart kies je Problemen oplossen / Geavanceerde opties / Instellingen voor UEFI-firmware / Opnieuw opstarten, zodat je ook in het uefi/bios-venster belandt. Hier vind je ongetwijfeld een schakeloptie voor secure boot terug.

Secure boot op een uefi-systeem inschakelen, is op zich zeker aan te raden. Het kan gebeuren dat sommige hardware of alternatieve OS’en, zoals minder bekende Linux-distributies die je bijvoorbeeld in dual boot wilt installeren, weigeren te functioneren met ingeschakelde secure boot. Dan zit er weinig anders op dan secure boot uit te schakelen. Mogelijk moet je hiervoor de uefi-modus ook naar bios- of csm (legacy) mode terugschakelen. Let op: had je Windows in uefi-modus geïnstalleerd, dan zal die weigeren nog door te starten.

©PXimport

03 Driververificatie

Heb je inderdaad secure boot geactiveerd, dan krijg je in Windows 64 bit nog met een andere beveiligingsfunctie te maken: driver signature enforcement. Oftewel de verplichte digitale ondertekening door Microsoft van alle kernel mode drivers. Net als secure boot moet ook deze beveiliging voorkomen dat malafide software (stuurprogramma’s in dit geval) je systeem aantasten.

Je kunt zelf nagaan of er niet-gesigneerde-drivers zijn geïnstalleerd. Voor audio- en videodrivers gaat dat als volgt: druk op Windows-toets+R en voer dxdiag uit. Op het tabblad Systeem plaats je, zo nodig, een vinkje bij Controle op digitale handtekeningen van WHQL (Windows Hardware Quality Labs) en bekijk je één voor één de driver-tabbladen. Ga na of er overal wel WHQL Logo’d: Ja staat. Voor een nog grondiger check-up gebruik je het commando Sigverif, dat je bevestigt met Starten. Niet-gesigneerde drivers krijg je na afloop te zien, en anders klik je op Geavanceerd / Logboek weergeven.

Controleer op de site van de fabrikant of er inmiddels een gesigneerde driver beschikbaar is en vervang je oude driver dan door dit exemplaar.

Nu kan het ook wel gebeuren dat je een driver van een wat oudere hardwarecomponent niet geïnstalleerd krijgt door deze beveiliging. Hier vind je verschillend methodes terug om deze beveiliging – bij voorkeur tijdelijk – terug te schroeven.

©PXimport

04 Cfa

Het is de laatste tijd veel in het nieuws: aanvallen met ransomware, waarbij al je kostbare data versleuteld worden en je stevig mag betalen om weer toegang te krijgen tot je gegevens. In Windows 10 zit een anti-ransomwarebeveiliging ingebouwd.

Ga naar Windows Instellingen en kies Bijwerken en beveiliging / Windows-beveiliging / Virus- en bedreigingsbeveiliging. Hier klik je dan op Bescherming tegen ransomware beheren. Zet de schuifknop bij Controlled folder access (cfa) op Aan, bevestig je keuze en klik op Beschermde mappen. Je ziet hier welke mappen standaard beveiligd zijn tegen ransomware, maar via Een beveiligde map toevoegen kun je nog andere locaties afschermen.

Het kan gebeuren dat betrouwbare apps geen toegang tot die mappen krijgen. Met Een app toestaan via Controlled Folder Access geef je zo’n app alsnog je goedkeuring.

©PXimport

05 Anti-ransomwaretools

Loop je met deze anti-ransomwarebeveiliging vaker tegen onterechte blokkades aan dan je lief is, dan kun je eventueel een externe anti-ransomwaretool overwegen. Die werken vaak minder hinderlijk en sommige functioneren ook mooi naast de anti-ransomwarebeveiliging van Windows.

Eén ervan is Kaspersky Anti-Ransomware Tool for Home (de gratis editie is vooral bedoeld als opstapje naar de betaalde variant). In het setup-menu van deze tool kun je zelf vertrouwde apps toevoegen, net als toestellen die jouw pc via het netwerk willen bereiken.

Onze persoonlijke favoriet is het gratis Cybereason RansomFree. Jammer genoeg wordt het programma niet langer doorontwikkeld, maar je kunt het her en der nog wel downloaden. Het opzet maakt dat de tool nog steeds bruikbaar is: het programma creëert op strategische schijflocaties allerlei dummybestanden. Zodra ransomware een van die bestanden tracht te versleutelen slaat de tool alarm en kun je het proces meteen in de kiem smoren. Deze tool werkt goed en geeft ons geen vals alarm. Je hebt er ook geen omkijken naar.

©PXimport

06 Simple SRP

Je kunt het natuurlijk ook over een andere boeg gooien en ervoor zorgen dat alleen nog toepassingen op standaardlocaties zoals \Program Files (x86) mogen worden uitgevoerd, terwijl ze op alle andere locaties worden geblokkeerd.

In Windows Pro en hoger kun je dat voor elkaar krijgen met complexe groepsbeleidsregels (druk op Windows-toets+R en voer gpedit.msc uit), maar het kan veel makkelijker met het gratis Simple Software Restriction Policy, dat ook werkt in Windows Home.

Installeer de tool en herstart Windows: het pictogram verschijnt in het Windows-systeemvak. De beveiliging is normaliter meteen al actief: probeer maar een gedownload programmabestand vanuit een willekeurige map te starten.

Om de beveiliging tijdelijk ongedaan te maken, bijvoorbeeld om een betrouwbaar programma te starten of te installeren, klik je op het pictogram en kies je Unlock. Na 30 minuten schakelt de beveiliging automatisch weer in. Deze wachtperiode valt aan te passen. Klik op Configure, wijzig het aantal minuten in de regel UnlockTimeout=30 en bevestig met Bestand / Opslaan.

©PXimport

Windows Sandbox

In Windows 10 64 bit 1903 Pro of hoger kun je op een andere manier dubieuze software en websites veilig uitproberen: met de ingebouwde Sandbox. Hiermee start je een virtuele desktopomgeving op waarbinnen je, zonder risico op besmetting van je normale werkomgeving, willekeurige bestanden, sites en software kunt openen. Zodra je de Sandbox afsluit, gaan alle wijzigingen verloren. Je moet deze functie wel eerst activeren. Druk op Windows-toets+R, voer optionalfeatures uit, scrol naar Windows Sandbox, zet hier een vinkje en klik op OK. Zodra je Windows hebt herstart, is Windows Sandbox beschikbaar vanuit het Startmenu. Lukt het niet? Ga dan na of de hardwarematige virtualisatiefunctie in je uefi/bios wel is ingeschakeld. Dat kun je ook als volgt checken: druk op Ctrl+Shift+Esc en open het tabblad Prestaties. Als het goed is, staat hier rechtsonder Virtualisatie: Ingeschakeld. Een gratis alternatief is overigens Sandboxie, dat ook bruikbaar is in Windows Home.

©PXimport

07 ConfigureDefender

Bij de paragraaf over CFA las je al hoe je Windows-beveiliging opent. Daar kun je allerlei opties van Windows Defender instellen. Heb je bijvoorbeeld geen andere antimalwaretool, dan zorg je er maar beter voor dat die van Windows actief is: klik op Virus- en beveiligingsbeveiliging / Instellingen beheren, zet Realtime-beveiliging op Aan en doe dit bij voorkeur ook bij Automatisch sample indienen, Cloudbeveiliging en Manipulatiebescherming.

De ingebouwde Windows-beveiliging laat zich ook op andere manieren configureren, zoals met PowerShell en vanuit het register. Er bestaat echter ook een gratis tool die een handige grafische interface biedt voor zowat alle opties van Windows Defender: ConfigureDefender, er zijn versies voor Windows 32 en 64 bit).

Je start deze portable tool door op het gedownloade programmabestand te rechtsklikken en Als administrator uitvoeren te kiezen. Er blijken drie beschermingsniveaus beschikbaar: Default, High en Max. Max is de veiligste optie, maar geeft ook het meeste risico op valse positieven en maakt bovendien dat je Windows Defender alleen nog via ConfigureDefender kunt configureren. High is daarom doorgaans de betere keuze. Met Default kun je op elk moment terugkeren naar de standaardinstellingen van Windows.

©PXimport

08 Eigen configuratie

Je hoeft jezelf natuurlijk niet te beperken tot een van de drie voorgestelde configuraties. Je kunt elk item (van de onderdelen Basic Defender Settings, SmartScreen en Exploit Guard) afzonderlijk instellen. Meestal is het genoeg om de gewenste optie in het uitklapmenu te selecteren, zoals ON of Disabled. Een aantal functies kent een derde optie: Audit. Die activeert de functie wel, maar blokkeert geen processen; er wordt alleen een melding van de gebeurtenis opgenomen in de Windows Logboeken. Om je wijzigingen te activeren, hoef je alleen de knop Refresh in te drukken en Windows te herstarten.

Audit kan nuttig zijn als je eerst wil nagaan of er geen software-incompatibiliteiten optreden. Je kunt dit logboek raadplegen door op Windows-toets+R te drukken, eventvwr.msc te starten en naar Windows-logboeken / Logboeken Toepassingen en Services / Microsoft / Windows Defender / Operational te navigeren. Maar het kan veel eenvoudiger vanuit ConfigureDefender zelf. Met een druk op de knop Defender Security Log krijg je een lijst met de tweehonderd recentste logs van Windows Defender.

©PXimport

09 Evorim Free Firewall

Een firewall is een onmisbaar onderdeel van elke beveiligingsstrategie en de standaard Windows-firewall voldoet prima. Je gaat als volgt na of de firewall is geactiveerd: typ firewall in het Startmenu in en klik op Status van firewall controleren. Staan er rode blokken, dan klik je op Windows Defender Firewall in- of uitschakelen en klik je bij elk netwerktype Windows Defender Firewall inschakelen aan.

De Windows Firewall mag dan wel degelijk zijn, meer gevorderde functies zoals regels voor uitgaand verkeer zijn behoorlijk lastig in te stellen. Daarvoor doen we graag een beroep op de gratis tool Evorim Free Firewall. Die kun je zien als een extensie op de bestaande Windows Firewall. Deze laatste moet dan ook actief zijn, wil je met EFF aan de slag.

De interface is Nederlandstalig, maar gezien de gebrekkige vertaling – Disabled is bijvoorbeeld Invalide in plaats van Uitgeschakeld – geven wij de voorkeur aan Engels: klik op het tandwielpictogram en stel Language in op Engels. Om de firewall te activeren klik je in de rubriek Begin op de grote knop Enabled. Merk hier trouwens ook de noodknop Blockade op, waarmee je in één klik al het netwerkverkeer tegenhoudt.

©PXimport

10 Machtigingen

In ditzelfde venster lees je ook af hoeveel programma’s er gemonitord, geblokkeerd en toegelaten worden. Dat vergt enige toelichting en die vind je in de rubriek Applications. Hier zie je welke machtigingen EFF aan alle gedetecteerde toepassingen heeft toegekend rondom het opzetten van internetverbindingen. Allow all, Deny all en Ask for permission spreken nog voor zich, maar een klein experiment maakt dat nog duidelijker. Wijzig voor de aardigheid maar eens de machtiging bij bijvoorbeeld je favoriete browser in Ask for permission. Zodra je die nu (her)start, zal er een pop-upvenster opduiken waarin EFF je vraagt wat je hiermee wilt doen. Dit venster toont alle afzonderlijke internetverbindingen die de applicatie wil opzetten. Die kun je weliswaar afzonderlijk verbieden (Prohibit) of toelaten (Allow), maar waarschijnlijk wil je alle verbindingen voor deze applicatie in één keer toestaan (Allow all) of blokkeren (Deny all). Je keuze staat meteen in de rubriek Applications.

Nuttig is ook de rubriek Events. Die bezorgt je een overzicht van de recente verbindingspogingen van de diverse toepassingen. Met de knoppen kun je hier dan alsnog je goed- of afkeuring aan geven, hetzij voor specifieke verbindingen, hetzij voor alle verbindingen tegelijk met de knoppen bovenaan.

©PXimport

11 Regels

We kunnen ons voorstellen dat je als gevorderde gebruiker voor bepaalde applicaties specifieke firewallregels op wilt stellen. Te denken valt aan regels die een toepassing wel een internetverbinding laten opzetten, maar niet met een specifiek ip-bereik, bijvoorbeeld dat van een advertentienetwerk. Ook dat is mogelijk met Free Firewall.

Open de rubriek Applications en klik op het pijltje bij de betreffende applicatie. Kies Edit rules, geef een duidelijke regelnaam op en druk op de knop Add rule. Je kunt nu het domein, ip-adres of het ip-bereik ingeven, zoals adverts.com, 80.70.60.50 of 24.35.0.1/16, en Block in plaats van Allow selecteren. Bij Last rule leg je de regel vast die moet worden uitgevoerd als geen van de domeinen of ip-adressen uit de toegevoegde regel(s) werd gevonden. Bevestig de aanpassingen met Save.

©PXimport

▼ Volgende artikel
Je tuin zomerklaar maken? Mei is hét moment!
© Olga Gorevan
Huis

Je tuin zomerklaar maken? Mei is hét moment!

Zodra de zon zich vaker laat zien, is het heerlijk om buiten te zijn. Mei is dan ook hét moment om je tuin zomerklaar te maken. Door nu de handen uit de mouwen te steken, zorg je dat alles er straks fris en verzorgd bij staat. Nieuwe planten, gesnoeide hagen, een opgeruimde border – dit is de maand om je tuin die welverdiende opfrisbeurt te geven.

Dit doe je deze maand in de tuin:

  • Zaaien en hagen planten
  • Extra aandacht geven aan nieuwe planten
  • Snoeien
  • Je gazon maaien en bemesten

Het jaar rond lekker bezig zijn in de tuin? Kijk dan op onze tuinkalender.

Zaaien en hagen planten

Hoewel de lente volop bezig is, is het slim om het vliesdoek nog even paraat te houden. Vooral in de eerste helft van mei kan het 's nachts nog flink afkoelen. Na IJsheiligen, op 14 mei, kunnen de kuipplanten en eenjarigen definitief naar buiten. Dan is de kans op nachtvorst vrijwel voorbij. Ook met zaaien kun je nu los. Klaprozen, leeuwenbekjes, korenbloemen, zonnebloemen, madeliefjes of duizendschoon – die mogen allemaal direct de volle grond in. Zomerbollen kun je alvast in potten zetten, dan zijn ze straks makkelijk over te planten naar de border. Heb je plannen voor een nieuwe haag? Wacht daar niet te lang mee. Tot half mei kun je nog heesters en coniferen planten.

Extra aandacht geven aan nieuwe planten

Nieuwe planten hebben in deze periode extra water nodig. Gebruik bij voorkeur water uit de regenton – dat is al op temperatuur en beter voor de wortels. Sproei je met leidingwater? Laat het dan als een fijne nevel op de planten vallen, in plaats van er met harde stralen op te richten. Zo voorkom je schade aan jonge scheuten. Een laag mulch helpt de bodem vochtig te houden en voorkomt dat de aarde uitdroogt. Slakken op pad? Strooi wat zaagsel of fijngemalen eierschalen rond de jonge planten, dat houdt ze op afstand. En vergeet de klimplanten niet: die groeien nu razendsnel en kun je het best op tijd aanbinden.

Lees ook: Slakken in de tuin? 8 tips om ervan af te komen

©Zoiakostina | Zoja

Snoeien

Na IJsheiligen kun je de buxus snoeien. Kies bij voorkeur een bewolkte dag, zodat de jonge snoeipunten niet verbranden in de zon. Ook de liguster, laurier, hulst en haagbeuk kun je nu bijwerken. Controleer wel even of er geen vogelnestje in de haag zit voor je aan de slag gaat. Rozen op stam en perkrozen mag je nu drie tot vijf ogen terugsnoeien. Bij vroegbloeiende struiken zoals ranonkelstruik en spirea knip je de uitgebloeide bloemen weg. Zo steekt de plant zijn energie in nieuwe bloemknoppen. Ook voorjaarsbloeiers zoals tulpen, narcissen, hyacinten, rododendrons en de kerstroos kun je nu ontdoen van oude bloemen. En de fuchsia? Die top je juist, zodat hij mooi vertakt.

Lees ook: Welke snoeischaar voor welke snoeiklus?

©SKT Studio - stock.adobe.com

Je gazon maaien en bemesten

Het is al volop lente, maar een flinke regenbui kan nog steeds voor wateroverlast zorgen. Blijft het water op plekken in de tuin staan of voelt de grond te nat aan? Prik dan met een mestvork in de bodem en beweeg deze voorzichtig heen en weer. Zo kan het regenwater beter wegzakken. En als er toch regen wordt voorspeld: dat is hét moment om je gazon te bemesten. Herhaal dit na een maand om het gras sterk en gezond te houden.

In mei maakt het gras een groeispurt. Je kunt het gazon dan één tot twee keer per week maaien – of je doet mee aan Maai Mei Niet. Door een maand niet te maaien, geef je bijen, vlinders en andere insecten meer bloeiende planten om van te leven. Vind je een hoog grasveld geen gezicht? Maai dan alleen een deel en laat de rest staan.

Niet alleen het gras groeit hard, ook het onkruid laat zich volop zien. Trek het eruit op droge dagen, dan komt het niet makkelijk terug. Schoffelen kan ook, maar wees voorzichtig: de wortels van andere planten kunnen daarbij beschadigd raken. Door bodembedekkers te planten maak je het onkruid bovendien lastiger om terrein te winnen.

Lees ook: Grasmaaien: fluitje van een cent met deze tips

▼ Volgende artikel
Bowers & Wilkins brengt nieuwe draadloze hoofdtelefoon Px7 S3 uit
Huis

Bowers & Wilkins brengt nieuwe draadloze hoofdtelefoon Px7 S3 uit

Bowers & Wilkins heeft de nieuwe Px7 S3 draadloze hoofdtelefoon aangekondigd. Deze nieuwe hoofdtelefoon is de opvolger van de Px7 S2e en biedt volgens het Britse audiomerk diverse verbeteringen op het gebied van geluidskwaliteit, comfort en functionaliteit.

De Px7 S3 is uitgerust met nieuw ontworpen 40mm biocellulose drivers waarbij bijna alle componenten zijn vernieuwd, waaronder het chassis, de spreekspoel, ophanging en magneet. Door de zorgvuldige positionering van de drivers ten opzichte van de oren krijgt de luisteraar een beter geluidsbeeld en een meer ruimtelijk stereogeluid. Voor het eerst in een over-ear hoofdtelefoon van Bowers & Wilkins worden de drivers aangedreven door een speciaal ontworpen hoofdtelefoonversterker voor meer dynamiek en energie in het geluid.

De draadloze hoofdtelefoon ondersteunt zowel aptX Adaptive 24/96 als het nieuwe aptX Lossless voor optimale draadloze muziekoverdracht vanaf compatibele apparaten. Ook beschikt de hoofdtelefoon over een 3,5mm aansluiting en USB-C voor bedrade verbindingen.

Ruisonderdrukking

De actieve ruisonderdrukking is volgens Bowers & Wilkins krachtiger dan ooit tevoren. De Px7 S3 is hiervoor voorzien van acht microfoons die strategisch zijn geplaatst om zowel omgevingsgeluid te monitoren als voor heldere telefoongesprekken te zorgen. De hoofdtelefoon gebruikt ADI Pure Voice technologie voor effectieve ruisonderdrukking tijdens gesprekken.

Qua design heeft de Px7 S3 een slanker profiel dan zijn voorganger met een verbeterde pasvorm en optimaal comfort dankzij de oorschelpen met traagschuim. Ook de bijbehorende draagtas is compacter geworden.

De batterijduur bedraagt 30 uur bij ingeschakelde ruisonderdrukking en een snelle oplaadbeurt van 15 minuten levert tot zeven uur extra luistertijd op. Via de Bowers & Wilkins Music-app kan de gebruiker diverse instellingen aanpassen, waaronder een nieuw toegevoegde vijfbands EQ met geheugenposities voor voorkeursinstellingen.

Spatial audio

De Px7 S3 is de eerste hoofdtelefoon van het merk met ondersteuning voor spatial audio, wat later dit jaar via een update beschikbaar komt. Ook zal de hoofdtelefoon ondersteuning krijgen voor Bluetooth LE Audio met Auracast functionaliteit via een toekomstige update.

"Het was een hele uitdaging voor Bowers & Wilkins om een nieuwe hoofdtelefoon te ontwikkelen die de uitzonderlijke prestaties en de lovende kritieken voor ons bestaande assortiment kan overtreffen," aldus Giles Pocock, VP Brand Marketing. "Ik ben ontzettend blij dat het team met de nieuwe Px7 S3 niet alleen die uitdaging heeft aangepakt, maar ook een nieuwe benchmark voor uitmuntendheid in de hoofdtelefooncategorie heeft neergezet."

Beschikbaarheid en prijzen

De Bowers & Wilkins Px7 S3 is nu verkrijgbaar en komt beschikbaar in drie kleuren: Anthracite Black, Indigo Blue en Canvas White. De adviesprijs bedraagt 429 euro.

Bekijk hier andere Bowers & Wilkins-producten op Kieskeurig.nl: